Vundo

Trojan Vundo (powszechnie znany jako Vundo , Virtumonde lub Virtumondo , a czasami określany jako MS Juan ) to koń trojański lub robak komputerowy , o którym wiadomo, że powoduje wyskakujące okienka i reklamy nieuczciwych programów antyszpiegowskich oraz sporadycznie inne niewłaściwe zachowanie, w tym obniżenie wydajności oraz odmowa usługi z niektórymi stronami internetowymi, w tym Google i Facebook . Jest również używany do dostarczania innego złośliwego oprogramowania na komputery hosta. Późniejsze wersje zawierają rootkity i ransomware .

Infekcja

Infekcja Vundo jest zwykle spowodowana otwarciem załącznika e-mail zawierającego trojana lub różnymi exploitami przeglądarki , w tym lukami w zabezpieczeniach popularnych wtyczek do przeglądarek, takich jak Java . Wiele wyskakujących okienek reklamuje fałszywe programy, takie jak AntiSpywareMaster , WinFixer i AntiVirus 2009.

Virtumonde.dll składa się z dwóch głównych komponentów, Browser Helper Objects i Class ID. Każdy z tych składników znajduje się w rejestrze systemu Windows w obszarze HKEY LOCAL MACHINE , a nazwy plików są dynamiczne. Przyłącza się do systemu za pomocą fałszywych obiektów pomocniczych przeglądarki i plików DLL dołączonych do winlogon.exe , explorer.exe i ostatnio lsass.exe .

Vundo wstawia wpisy rejestru, aby ukryć ostrzeżenia systemu Windows o wyłączeniu zapory, oprogramowania antywirusowego i usługi Aktualizacje automatyczne , wyłącza usługę Aktualizacje automatyczne i szybko wyłącza ją ponownie, jeśli zostanie ręcznie ponownie włączona, oraz atakuje Malwarebytes Anti-Malware , Spybot Search & Destroy , Lavasoft Ad-Aware , HijackThis i kilka innych narzędzi do usuwania złośliwego oprogramowania. Często ukrywa się przed Vundofix i Combofix. Zamiast wypychać fałszywe produkty antywirusowe, po pobraniu pojawiają się nowe wyskakujące okienka „ reklama ”. ataki to kopie reklam głównych korporacji, sfałszowane tak, że samo ich zamknięcie umożliwia exploitowi drive-by download wstawienie ładunku do komputera użytkownika.

Objawy

Ponieważ istnieje wiele różnych odmian trojanów Vundo, objawy Vundo są bardzo zróżnicowane, od stosunkowo łagodnych do ciężkich. Prawie wszystkie odmiany Vundo zawierają jakieś wyskakujące reklamy, a także same się zakorzeniają, aby utrudnić ich usunięcie.

Zainfekowane komputery wykazują niektóre lub wszystkie z następujących symptomów:

• Vundo spowoduje, że zainfekowana przeglądarka internetowa będzie wyświetlać reklamy, z których wiele twierdzi, że potrzebuje oprogramowania, aby naprawić „pogorszenie” systemu.
• Tło pulpitu może zostać zmienione na obraz okna instalacyjnego z informacją, że na komputerze jest oprogramowanie reklamowe .
• Wygaszacz ekranu można zmienić na niebieski ekran śmierci .
• W Panelu sterowania właściwości ekranu brakuje kart tła i wygaszacza ekranu, ponieważ ich wartości „Ukryj” w Rejestrze zostały zmienione na 1.
• Zarówno tło, jak i wygaszacz ekranu znajdują się w folderze System32, jednak wygaszacza ekranu nie można usunąć.
• Automatyczne aktualizacje systemu Windows (i inne usługi internetowe) mogą być również wyłączone i nie można ich ponownie włączyć.
• Zainfekowane biblioteki DLL lub pliki DAT (o losowych nazwach, takich jak „__c00369AB.dat” i „slmnvnk.dll”) będą obecne w folderze Windows/System32, a odniesienia do bibliotek DLL zostaną znalezione podczas uruchamiania użytkownika (widoczne w programie MSConfig) , rejestru oraz jako dodatki do przeglądarki w programie Internet Explorer .
• Vundo może próbować uniemożliwić użytkownikowi usunięcie go lub w inny sposób utrudnić jego działanie, na przykład poprzez wyłączenie menedżera zadań, edytora rejestru i msconfig, uniemożliwiając w ten sposób uruchomienie systemu w trybie awaryjnym.
• Niektóre zapory ogniowe lub oprogramowanie antywirusowe mogą być również wyłączone przez Vundo, przez co system jest jeszcze bardziej podatny na ataki. W szczególności wyłącza program Norton AntiVirus i z kolei wykorzystuje go do rozprzestrzeniania infekcji. Norton sam wyświetli monity o włączenie filtra phishingowego. Po naciśnięciu OK spróbuje połączyć się z real-av.org i pobrać więcej złośliwego oprogramowania.
• Popularne programy chroniące przed złośliwym oprogramowaniem, takie jak Spybot – Search & Destroy lub Malwarebytes , mogą zostać usunięte lub natychmiast zamknięte po załadowaniu. Zmiana nazwy pliku wykonywalnego programu może obejść ten problem. Plik wykonywalny Malwarebytes może zostać usunięty natychmiast po zainstalowaniu (w zależności od infekcji systemu). Zazwyczaj działa również instalacja programu na innym komputerze i skopiowanie pliku wykonywalnego do katalogu Malwarebytes zainfekowanego komputera.
• Negatywny wpływ może mieć również dostęp do sieci. Vundo może spowodować, że wiele stron internetowych będzie niedostępnych.
• Łącza wyszukiwarek mogą być przekierowywane do nieuczciwych witryn oprogramowania zabezpieczającego , których można uniknąć, kopiując i wklejając adresy.
• MS Juan może powodować, że strony internetowe nie ładują się po sesjach przeglądania i wyświetlają pustą stronę w przeglądarce zamiast strony internetowej. Gdy tak się stanie, wszystkie programy mogą się nie uruchomić, a zamknięcie systemu Windows może stać się niemożliwe.
• Proces winlogon.exe może zacząć stale uzyskiwać dostęp do dysku twardego, w związku z czym mogą wystąpić okresowe zawieszenia.
• Wyświetla wyskakujące okienka, a także dodatkowo skutecznie wstrzykuje promocje do wyników wyszukiwania.
• Mogą pojawić się ostrzeżenia o tym, że SuperMWindow nie zamyka się.
• Explorer.exe może stale ulegać awariom, powodując niekończącą się pętlę awarii, a następnie ponownego uruchamiania.
• Tworzy sterownik krytyczny dla wirusa w C:\Windows\system32\drivers (ati0dgxx.sys).
• Wirus może „zjeść” dostępne miejsce na dysku twardym; miejsce na dysku twardym może wahać się od +3 do -3 Gb miejsca, co jest ewidentne w próbie „ukrycia się” Vundo, gdy jest antagonizowany.
• Vundo może utrudniać postęp pobierania.
• Wejście w tryb awaryjny po próbie użycia Hijack Powoduje prawdziwy niebieski ekran śmierci, którego nie można odzyskać bez przywrócenia usuniętych kluczy rejestru trybu bezpiecznego lub ponownej instalacji systemu Windows.
• Wirus czasami wyświetla błąd „Uruchom bibliotekę DLL jako aplikację”, gdy niektóre losowo nazwane biblioteki DLL zostały usunięte.
• Wirus przepisze losowo nazwane biblioteki DLL, podczas gdy którakolwiek z nich będzie znajdować się na komputerze.
• Wirus zmienia wpisy \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run i RunOnce, aby uruchamiał się sam podczas uruchamiania systemu Windows.
• Wirus instaluje adware, które czasami jest pornograficzne.
• Wirus instaluje nieuczciwe oprogramowanie zabezpieczające , takie jak Desktop Defender 2010 i Security Center z plikiem .wav informującym użytkownika, że ​​jego system jest zainfekowany.
• Wirus spowoduje uszkodzenie sterownika sieciowego, co nawet po przejściu do Edytora rejestru (regedit.exe) w celu usunięcia Winsock 1 i 2 i próbie ponownej instalacji sterownika jest praktycznie niemożliwe.
• Wirus usuwa połączenie sieciowe w obszarze Moje miejsca sieciowe.